The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки

14.09.2018 11:30

Разработчики Mozilla предложили пользователям принять участие в тестировании функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). После успешного эксперимента с включением DoH в ночных сборках, решено протестировать данную функциональность в бета-выпусках Firefox. В конце этой недели части пользователей Firefox Beta из США будет предложено активировать обращение к DNS через HTTPS (при нежелании принимать участие в тестировании пользователь сможет отказаться).

В процессе тестирования DoH в ночных сборках существенное ускорение отклика было замечено только участниками с медленными каналами связи,в то время как у большинства пользователей наблюдалось незначительное снижение производительности. Тем не менее эксперимент был признан удачным, так как польза от повышения защищённости при использовании DoH перекрывает зафиксированную задержку на уровне 6 миллисекунд, которая незаметна в процессе работы.

Желающие могут присоединиться к тестированию DoH, изменив в about:config значение network.trr.mode (поддерживается, начиная с Firefox 60). Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Дополнительно, можно отметить активацию для ограниченного числа пользователей ночных сборок Firefox системы композитинга Servo WebRender, написанной на языке Rust. При включении WebRender для выполнения операций отрисовки элементов страницы не используется встроенная в движок Gecko система композитинга, обрабатывающая данные при помощи CPU. Вместо этого применяются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки.

Тестирование WebRender затронет около 17% пользователей стационарных ПК с ОС Windows 10 и видеокартой NVIDIA. Для активации WebRender независимо от попадания в группу тестирования в about:config можно выставить переменную "gfx.webrender.all". По оценке разработчиков, система уже работает достаточно стабильно на всех поддерживаемых в Firefox платформах, кроме Android.

  1. Главная ссылка к новости (https://blog.mozilla.org/futur...)
  2. OpenNews: В ночные сборки Firefox добавлен WebRender, использующий GPU для отрисовки web-страниц
  3. OpenNews: Релиз Firefox 60
  4. OpenNews: Тестирование DNS over HTTPS в Firefox может привести к утечке данных об открываемых сайтах
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
  6. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: doh, dns, webrender, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (130) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:33, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Такое надо на уровне системы внедрять, а не в отдельных браузерах.
     
     
  • 2.5, Аноним (5), 11:47, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Такое на уровне системы 10 лет ждать. А здесь уже, и для большинства пользователей это самая важная часть днс-запросов. Шифровать резолвы для клиента стима и мессенджера не так важно.
    И это никак не мешает внедрять на уровне системы. Вообще. Внедряйте. Потом можно будет выключить в браузере.
     
     
  • 3.38, Антон (??), 13:53, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Такое на уровне системы 10 лет ждать.

    На последнем андроиде уже сделали.

     
     
  • 4.44, Аноним (44), 14:13, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только последние Андроиды, даже 8, используется малым процентом. А в браузере фича будет
     
  • 2.7, leap42 (ok), 11:50, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так внедряйте
    я уж по рекомендаци RH ставлю на все системы unbound для кеширования, он умеет поверх https
     
     
  • 3.25, Аноним (25), 13:24, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > unbound для кеширования, он умеет поверх https

    https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=1200
    > Summary: Does unbound support DNS-over-HTTPS (DoH)?
    > Status: ASSIGNED

    так вот кто угнал машину времени!

     
     
  • 4.102, leap42 (ok), 04:52, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> unbound для кеширования, он умеет поверх https
    > https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=1200
    >> Summary: Does unbound support DNS-over-HTTPS (DoH)?
    >> Status: ASSIGNED
    > так вот кто угнал машину времени!

    упс, сорян, я с DNS over TLS перепутал

     
  • 2.11, Аноним (11), 12:12, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Вообще, отдельный вопрос, какого х браузер резолвит в обход системы.
     
     
  • 3.40, zzz (??), 14:00, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Да они там вообще припухли. DNS навязывают, свою поисковую систему не добавить без геморроя, собирают статистику по приватным вкладкам - это вообще лютая дичь, типа "Никто не узнает, какие ресурсы ты посещаешь. Кроме нас".
     
  • 3.67, AnonPlus (?), 15:05, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ещё скажите "какого х браузер использует прокси в обход системы". А при использовании прокси зачастую лучше резолвить через тот же прокси.
     
     
  • 4.71, zzz (??), 15:33, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно что навязывать DoH - всё равно, что заставлять всех ходить через прокси корпорации добра.
     
     
  • 5.74, AnonPlus (?), 16:14, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот именно что навязывать DoH - всё равно, что заставлять всех ходить
    > через прокси корпорации добра.

    Кто ж навязывает? Галка будет (когда в релиз пойдет), хотите включайте, хотите нет. Как и с настройками отслеживания.

    А бета тестеров тоже спрашивают, хотят они потестировать или нет.

     
     
  • 6.78, Аноним (78), 17:24, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А потом галку уберут. И пункт в about:config.
     
  • 3.88, Ordu (ok), 18:36, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что система не умеет в DoH.
     
  • 2.64, xm (ok), 15:01, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На уровне системы это внедрять не нужно, потому что HTTPS.
    Внедрять нужно DNS-over-TLS.
     
     
  • 3.80, timur.davletshin (ok), 18:03, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки да, оно хоть стандартизовано, а это пока ещё experimental.
     
  • 2.128, Аноним (128), 18:23, 20/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не нужно.
    используйте dns over tls
     

  • 1.2, Аноним (5), 11:42, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    TRR prefs https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec
     
  • 1.3, Аноним (3), 11:43, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да да. Только вот люди которые уже давно частенько смотрели на webrender знают что хоть оно и "ускоряет" отрисовку оно так же и нагружает систему. Привыкли что ваша видеокарта от Nvidia/AMD при браузинге работает на низких частотах и холодна? Забудьте.
     
     
  • 2.10, ksghe (?), 12:11, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Покрути, например, карты яндекса на дисплее 4К с WR и без, почувствуй разницу.
    И реши для тебя что важнее - плавность отрисовки или холодный GPU.
     
  • 2.79, Аноним (79), 17:42, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот GPU я бы нагрузил.
     
  • 2.87, Ordu (ok), 18:32, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эти люди не замеряли общую потребляемую мощность? Мне кажется, это интереснее, чем температуры отдельных составляющих компьютера. Температуры меня как-то вообще не волнуют, пока они в пределах разумного.
     
     
  • 3.93, Аноним (3), 20:39, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    1. Куда им там, они борятся с различными багами специфичные под разные ос/gpu, как на своей стороне, так и в коде ANGLE, при этом жестоко форсятся пул реквесты в сам ANGLE (гугелю либо пофиг на это, либо angle в составе бинарного хрома у них приватный).

    2. Ноутбуки.

     
     
  • 4.96, Ordu (ok), 22:05, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Куда им там, они борятся с различными багами специфичные под разные
    > ос/gpu, как на своей стороне, так и в коде ANGLE, при
    > этом жестоко форсятся пул реквесты в сам ANGLE (гугелю либо пофиг
    > на это, либо angle в составе бинарного хрома у них приватный).

    Как это мешает замерить потребляемую мощность?

    > 2. Ноутбуки.

    Что "ноутбуки"?

     
  • 2.129, Аноним (128), 18:25, 20/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что лучше горячий процессор или видеокарта?
     

  • 1.4, Ivan_83 (ok), 11:45, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    network.trr.uri - прописал локалхост туда, чтобы ненароком не включилось.
     
     
  • 2.6, Аноним (5), 11:50, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну и дурак. Этот параметр как раз легко могут тебе перезаписать при обнове, ибо никто не обещал и нефиг полагаться. Для сознательного объявления об отказе нужно ставить network.trr.mode 5, тогда тебя обойдёт стороной в любом случае, даже если станут по дефолту всем включать без спроса.
     
  • 2.15, Аноним (44), 13:00, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и зачем отказываться от хорошей функции?
     
     
  • 3.33, Аноним (33), 13:38, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно, не стоит отказываться и выбрать в качестве DoH непременно корпорацию бобра.
     
  • 3.47, Аноним (47), 14:25, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Например я хочу что бы *.google.com ресолвились в 127.0.0.1, как это сделать с этой «хорошей» функцией? Не все пользователи хотят что бы за них решали что и как ресолвить.
     
     
  • 4.52, Ivan_83 (ok), 14:30, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну сколько можно 127.0.0.1 использовать для блокировок, это не глупо.
    Всегда пишу 0.0.0.0 - после этого софт даже не пытается подключится, он сразу знает что домен не отрезолвился и делать ничего не надо.
     
  • 3.50, Ivan_83 (ok), 14:29, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем мне это!?
    У меня стоит мой локальный unbound который делает то что мне нужно и как мне нужно.
    В частности не резолвит всякие дрянные домены типа дудльадвордс и прочие рекламы, трекеры, мусор.

    Что до майора, то местным чтобы закрыть трафик не нужен, хранить и анализировать они не могут, нетфлоу вроде 3 года хранят всего.
    При этом чужие майоры умеют анализировать и анализируют, хранят хз сколько и тп.

     

  • 1.8, timur.davletshin (ok), 11:58, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Webrender у меня странно подёргивается и на Nvidia и на Intel. Отрисовка же средствами OpenGL совершенно плавная.
     
  • 1.9, Дима Г (?), 11:59, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Следующие шаги:
    1. Весь трафик начинает идти через сервера одной-двух компании (гугл, амазон), потому что они лучше всех резолвят через https
    2. Эти же сервера терминируют HTTPS
    3. Ваш личный сайт посчитали плохим, никто на него зайти не может
    4. Добро пожаловать в интернет 3.0
     
     
  • 2.20, Онанимус (?), 13:12, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Следующие шаги:

    Предпочитаю Гугл, товарищу майору.

     
     
  • 3.21, Дима Г (?), 13:18, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Выбор даже так не стоит. Гугл — это когда товарищ майор имеет более совершенные инструменты.
     
  • 3.30, товарищ майор (?), 13:31, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я те предпочту!
     
     
  • 4.34, dango (?), 13:39, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Звали меня, товарищ майор?
     
     
  • 5.39, Аноним (33), 13:56, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец, тебя конкретно не вызывал, а сам пришёл. Продолжай и дальше также. Приходи и интересуйся, не находишься ли ты в розыске. Докладывай, с кем общаешься и что обсуждаете. Вот, товарищи, пример достойного гражданина! :)
     
  • 3.45, гугл (?), 14:24, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    правильно, а то господин оберлейтенант тоже интересуется (и ему мы тебя тоже продадим)

     
  • 3.53, Ivan_83 (ok), 14:32, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Местный майор тебя закроет просто так, ему твой трафик не нужен, писать ему его некуда, анализировать тоже.

    А вот зачем иностранному майору твой трафик ты бы лучше задумался.
    Они ведь столько усилий прилагают чтобы трафик со всего шарика к себе завернуть, думаешь это просто так?

     
     
  • 4.112, пох (?), 21:44, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Местный майор тебя закроет просто так, ему твой трафик не нужен

    разьве хоть один, севший за лайки, оспаривал сам факт лайков? Отож.
    доказательная база, она может и не пригодится, но надо ж ему как-то отличать, кого именно сегодня лупить дубиной и тащить в автозак.

    > Они ведь столько усилий прилагают чтобы трафик со всего шарика к себе завернуть, думаешь
    > это просто так?

    я вот думаю, что нашему майору тоже продадут. Или поменяют на что-то полезное.

     
  • 3.65, Анимус (?), 15:02, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Товарищу майору проще подойти к одному Гуглу и взять всю инфу, чем гоняться за каждым юзером. А Гугл - он не откажет, он ведь не хочет рынок потерять. Так что централизация майору на руку.
     
  • 2.105, Аноним (105), 13:57, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1 пункт уже реализован в хроме и яндекс браузере, называется если не ошибаюсь сжатие трафика и 3 пункт уже реализован в какой то мере.
     

  • 1.12, Аноним (11), 12:14, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как же блин достали этим. Грёбаные костыли. А всё из-за тормознутости некоторых "контор", которые сочиняли DNS-SEC'и и проч.
     
     
  • 2.37, Аноним (33), 13:45, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    DNS over (D)TLS уже существует RFC 7858, RFC 8310.
     

  • 1.13, Аноним (11), 12:16, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > DNS поверх HTTPS

    Пятилетка "закостыливаний во имя прогресса"! Everything over HTTPS.

     
     
  • 2.14, A.Stahl (ok), 12:31, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Майор, ты в курсе, что ключи не обязательно распечатывать на бумаге?
     

  • 1.16, Аноним (44), 13:01, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. И как, оно защищает от блокировок на практике?
    2. Есть ли смысл включать WebRender на ноуте с Intel HD?
     
     
  • 2.61, timur.davletshin (ok), 14:51, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Webrender стоит попробовать, идея то хорошая. Но пока в моём случае мне не везёт, тормозит оно больше отрисовки через OpenGL. Webrender тормозит у меня на Intel и Nvidia, а в OpenGL летает  на том же железе.
     
  • 2.62, timur.davletshin (ok), 14:54, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Никак особо оно не защищает от блокировок, т.к. они по IP адресу блокируются, оно подделку DNS запросов предотвращает. Хотя у меня с DoH открывается web морда telegram, но так и висит в Connnecting... статусе.
     
  • 2.76, amonimous (?), 16:34, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На моём ноутбуке с интелом тормозит больше, греется больше, чем opengl композитор.
     
     
  • 3.81, timur.davletshin (ok), 18:05, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно аналогичная история.
     
  • 2.130, Аноним (128), 18:26, 20/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    никак
    нет
     

  • 1.17, microcoder (ok), 13:01, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > противостояния блокировкам на уровне DNS

    Интересно, а https://t.me блокирован на каком уровне? DNS или TCP/IP?

     
     
  • 2.19, microcoder (ok), 13:10, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообщем DoH не прокатит ((( Похоже блокировка на уровне IP:

    https://dns.google.com/resolve?name=t.me

    >Статистика Ping для 149.154.167.99:
    >    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    >    (100% потерь)

     
  • 2.22, microcoder (ok), 13:19, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А есть ли какие-то наработки, которые шифруют конечный маршрут в TCP/IP? Ну что-то типа переменного хеша получаемого от DNS вместо IP адреса который может расшифровать только адресат?
     
     
  • 3.26, Онанимус (?), 13:25, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А есть ли какие-то наработки, которые шифруют конечный маршрут в TCP/IP? Ну
    > что-то типа переменного хеша получаемого от DNS вместо IP адреса который
    > может расшифровать только адресат?

    IP пакет идет по IP адресу получателя. Только примитивные блокировки режут резолвинг заблокированного ресурса. Нормальные блокировки работают по IP адресу, который содержится в IP пакете.
    Так что, только прокси и VPN.

     
     
  • 4.28, Онанимус (?), 13:27, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И это, если не вспоминать dlp системы. Там только VPN с обфускацией.
     
  • 3.54, Ivan_83 (ok), 14:34, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, IP не для этого.
     
  • 3.72, Твоя мама (?), 15:50, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А есть ли какие-то наработки, которые шифруют конечный маршрут в TCP/IP?

    Конечно, Tor называется.

     
     
  • 4.89, пох (?), 18:40, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    более того, это единственное, для чего он на самом деле был придуман.
     
  • 4.92, microcoder (ok), 20:36, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    О! Круто! Спасибо, не знал.
     

  • 1.18, Аноним (18), 13:03, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Правильно! А то привыкли в hosts всякую ерунду прописывать и не дают нормальным трекерам да аналитикам свое шпионское дело делать.
    Мы вас всех вылечим!
     
     
  • 2.23, Онанимус (?), 13:19, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно! А то привыкли в hosts всякую ерунду прописывать и не дают
    > нормальным трекерам да аналитикам свое шпионское дело делать.
    > Мы вас всех вылечим!

    hosts уже несколько лет перестал работать. По крайней мере для яндекс.директ и т.п. Дополнения к браузеру, типа uBlock работают и через DoH. Так что не набрасывайте.

     
     
  • 3.35, Аноним (18), 13:43, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет уж позвольте набросить. Блокировка рекламы/трекеров и прочей дряни на уровне ДНС позволяет намного проще решить проблемы для многих приложений/устройств сразу, независимо от того есть там где-то ublock или нет. Тот же проект pihole для этого и был создан. Под благими намеряниями защиты от якобы товарища майора трафик юзверьков просто все больше централизуют. Гугл в хроме выпиливает адресную строку, естественно тож руководствуюясь исключительно заботой о хомячке.
     
     
  • 4.42, Онанимус (?), 14:06, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот же проект pihole для этого и был создан.

    Да говорю же, что все меньше и меньше работает блокировка через ДНС. Кругом https и джава скрипты. Вырезается только тупая реклама и той становится все меньше.

     
     
  • 5.51, Аноним (47), 14:29, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кругом https и джава скрипты.

    И что? Как это с DNS связано?

     
  • 3.49, Аноним (47), 14:28, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > hosts уже несколько лет перестал работать.

    С чего бы?

     
  • 3.55, Ivan_83 (ok), 14:36, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У меня всё работает Но я пишу не в hosts а в конфиг unbound, типа так Yand... текст свёрнут, показать
     
     
  • 4.97, Mike (??), 22:36, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вдогонку https://github.com/StevenBlack/hosts

    И скрипт для ленивых, который конвертит hosts в зоны unbound:
    #!/bin/bash

    BLACKLIST_CONF="blacklist_stevenblack.conf"
    HOSTS="hosts_stevenblack"

    rm -f ${BLACKLIST_CONF} ${HOSTS} 2> /dev/null

    wget https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts -O ${HOSTS}

    cat ${HOSTS} | grep -E "^0.0.0.0" | grep -v "0.0.0.0 0.0.0.0" > ${HOSTS}_edited

    for i in $(cut -f2 -d " " ${HOSTS}_edited); do
    echo local-zone: \"${i}\" redirect >> ${BLACKLIST_CONF}
    echo local-data: \"${i} A 0.0.0.0\" >> ${BLACKLIST_CONF}
    done

    rm -f ${HOSTS}_edited

     

  • 1.24, ig0r (??), 13:23, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    каким образом браузер разрезолвит dns.google.com если я пропишу "https://dns.google.com/" в network.trr.uri?
     
     
  • 2.27, microcoder (ok), 13:26, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да не браузер резолвит, а сервис. Сервис отдает JSON объект в котором браузер находит IP адрес для запрашиваемого хоста. Например: https://dns.google.com/resolve?name=t.me
     
     
  • 3.31, Аноним (33), 13:34, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он, вероятно, имел ввиду, как браузер найдёт IP самого https://dns.google.com/ по доменному имени dns.google.com
     
     
  • 4.32, microcoder (ok), 13:36, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ааа... точно, извиняюсь тогда )))
     
  • 2.41, aa (?), 14:03, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    TRR prefs https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec


    network.trr.bootstrapAddress

    (default: none) by setting this field to the IP address of the host name used in "network.trr.uri", you can bypass using the system native resolver for it.

     

  • 1.29, Аноним (33), 13:28, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/".

    Что-то Мозилка протормозила, ей нужно срочно свои DNS заводить, а не дарить сатистику каким-то Фларям и Гуглам.

     
     
  • 2.43, zzz (??), 14:07, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но это же тогда придётся монетизировать как-то, свои сервера-то. Т.е. барыжить данными пользователей. А так они на коне и в белом - мы заботимся о вашей приватности, поэтому вашими данными не барыжим, а всего лишь направляем DNS-запросы на надежные сервера, а уж как они там и что - это мы не знаем.
     
  • 2.68, Нанобот (ok), 15:06, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вполне возможно, что именно этим они сейчас и занимаются
     

  • 1.36, Аноним (36), 13:45, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, обычно они любят так:

    >Разработчики Мазилы обяжут пользователей принять участие в тестировании функции >обращения к DNS поверх HTTPS (DoH, DNS over HTTPS).

     
     
  • 2.48, гугл (?), 14:27, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да не, что ты. Обычно они любят по другому - потестируют на малом числе пользователей, и, если наши бизнес-аналитики дают добро - тогда обяжут пользователей пользоваться, уже штатно.
    Ну конечно же, добавив  стопиццотый параметр (лучше всего скрытый), возвращающий штатное поведение ресолвинга - который выпилят еще версий через пять, но "не такие как все" уже не заметят.

     

  • 1.46, Аноним (46), 14:25, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А WebRender-то клёвый! Даже викимапия тормозить перестала. По ходу лиса таки снова торт, ну наконец-то торчиком можно будет пользоваться без слёз.
     
  • 1.56, Аноним (46), 14:47, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дальше будет интереснее. Хозяевам captive portals придётся разрешить https трафик на крупнейшие DoH сервера, как сейчас разрешен https. А дальше хитрые граждане смогут бесплатно гонять через эти сервера Tor на любой платной wifi точке. Но поскольку таких изворотливых граждан вряд ли найдётся много, а заморочей прихлопнуть дырку тоже много, прихлопнут её ещё не скоро.

    https://trac.torproject.org/projects/tor/wiki/doc/meek

     
     
  • 2.57, Аноним (46), 14:48, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и это окончательно убьёт всякую возможность на гос уровне блокировать Tor, не заблокировав DNS половине интернета.
     
  • 2.59, Аноним (46), 14:49, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ...как сейчас разрешен DNS

    имелось в виду, конечно

     

  • 1.58, Аноним (-), 14:48, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Я правильно понял, что с этой фичей провайдер не видит на какие сайты я хожу даже без VPN (имеется ввиду VPN со своим DNS-сервером)?
     
     
  • 2.60, Аноним (46), 14:49, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    yep
     
  • 2.66, rshadow (ok), 15:02, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не совсем так. По DoH ты получешь ip адрес запрошенного сайта, но потом браузер пойдет за страничкой по выданному ip. Самого сайта (домен) провайдер конечно теперь не увидит, но банить по ip все равно будет.
    По VPN провайдер видит только один ip самого впн сервера на который ходят зашифрованные запросы.
     
  • 2.70, Нанобот (ok), 15:14, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нет. провайдер не увидит только dns-запросы, заход на сайт увидит (см. TLS SNI). ещё, в зависимости от настроек сайта, увидит или не увидит какие конкретно страницы ты открываешь на сайте
     

  • 1.63, rshadow (ok), 14:54, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде DNS over TLS уже есть. Зачем пилить еще одно апи поверх HTTP? Все тоже самое и поддержка на тех же серверах. Преимущества идти в эту сторону не совсем понятны.
     
     
  • 2.73, Аноним (73), 16:06, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для DoT тебе нужно поднять и настроить unbound или хотя бы stubby. Для DoH ты просто делаешь GET-запрос. Хоть браузером, хоть curl-ом.
     
     
  • 3.75, Moomintroll (ok), 16:26, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для DoT тебе нужно поднять и настроить unbound или хотя бы stubby. Для DoH ты просто делаешь GET-запрос. Хоть браузером, хоть curl-ом.

    Интересно, а каким чудом без "поднять и настроить" вдруг что-то ответит на GET-запрос? Любой HTTP(S) сервер умеет отдавать DoH?

     
     
  • 4.101, Аноним (101), 04:48, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    При чём тут сервер? О клиенте речь. На сервере пофиг или около того. Конечно там надо что-то поднять и настроить, чтоб отвечало на запросы, лол, будь это даже легаси-днс без шифрования. А вот на клиенте DoH гораздо лучше, см коммент ниже с цитатами.
     
  • 3.82, timur.davletshin (ok), 18:07, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть надежда, что в стандартный резолвер когда-нибудь встроят. Засунули же когда-то туда всякие NIS'ы.
     
  • 2.100, Аноним (101), 04:44, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А люди наоборот считают, что dns over tls никаких преимуществ не имеет и не нуже... текст свёрнут, показать
     
     
  • 3.108, Аноним (25), 15:18, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Преимущества идти в эту сторону не совсем понятны.
    > А люди наоборот считают, что dns over tls никаких преимуществ не имеет и не нужен.

    Там один людь.
    А нас, с тезкой - уже двое. И ссылаться на автора софтины, утверждающего что днс-через-шифроканал днс-через-овердо*ренаинжыниред-гугл-протокол не имеет преимуществ, сама по себе странная аргументация.

     
     
  • 4.115, Аноним (115), 03:45, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Там один людь.

    Количество серверов и клиентов DoTLS и DoH и их качество наглядно демонстрирует.
    > А нас, с тезкой - уже двое.

    И какие ваши аргументы?

     
     
  • 5.118, timur.davletshin (ok), 10:16, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    DNS over HTTPS/TLS для домашнего провайдера не актуален особо. Даже блокировки РКН реализуются не через подмены DNS, а через IP. А вот для публичных сетей такое может быть востребовано, несколько раз сталкивался, когда при открытии VK/FB какие-то умельцы вставляли явно свойские баннеры услуг провайдера и пр. Обычный DNSSEC тут мог бы тоже помочь, но его настраивают 1.5 админа из 10, а используют в 3 раза меньше пользователей.
     
  • 5.122, Аноним (25), 16:23, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Там один людь.
    > Количество серверов и клиентов DoTLS и DoH и их качество наглядно демонстрирует.

    Какое количество? Что демонстрирует? И почему вы вообще решили, что там есть взаимосвязь?

    >> А нас, с тезкой - уже двое.
    > И какие ваши аргументы?
    > днс-через-шифроканал vs. днс-через-овердо*ренаинжыниред-гуглo-протокол

     
     
  • 6.125, Аноним (125), 06:10, 17/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И где аргумент-то? Если ты назвал протокол оверинженеридгугловским, то от этого он таким не становится.
    А вот dns over tls ужасен и настолько недодуман и недоделан, что работает даже хуже чем https (в котором тоже есть tls), как написано в тех цитатах. Есть что ответить на них?
    Или вы застряли во временах http 1.1 и ничего не знаете про второй?
     
     
  • 7.126, Аноним (25), 12:13, 17/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И где аргумент-то? Если ты назвал протокол оверинженеридгугловским, то от этого он таким не становится.

    Ну, если аноним так говорит, то значит так оно и есть! Куда там всяким Пол-Хеннинг Кампам до него …
    https://queue.acm.org/detail.cfm?id=2716278
    > HTTP/2.0 is not a technical masterpiece. It has layering violations, inconsistencies, needless complexity, bad compromises, misses a lot of ripe opportunities, etc.
    > The IETF, obviously fearing irrelevance, hastily "discovered" that the HTTP/1.1 protocol needed an update, and tasked a working group with preparing it on an unrealistically short schedule. This ruled out any basis for the new HTTP/2.0 other than the SPDY protocol.
    >

     

  • 1.69, Аноним (69), 15:09, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    включил эту штуку, вроде работает и то и другое.
     
  • 1.77, Я (??), 17:01, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если у меня dnscrypt-proxy мне это надо???
    Что бы провайдер не палил подойдет или тор только спасет?
     
     
  • 2.84, 0000000000 (?), 18:20, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нет!ты и так весь за криптован, как параноидал, живи спокойно теперь
     

  • 1.83, Аноним (46), 18:13, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Включил на последнем Mint

    layers.acceleration.force-enabled
    и
    gfx.webrender.enabled

    Перезапустил.

    Композитинг в about:support всё ещё OpenGL.

    ЧЯДНТ?

     
     
  • 2.94, Аноним (3), 20:43, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Делаешь это не на firefox nightly. Скачай бинарную сборку с сайта тормозилы.
     
  • 2.104, timur.davletshin (ok), 09:10, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    MOZ_ACCELERATED=1 MOZ_WEBRENDER=1 firefox — запусти вот так, работает и в stable выпусках.
     
     
  • 3.109, Аноним (46), 16:14, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кайфец, заработало! Спасибо большое)
     
     
  • 4.110, timur.davletshin (ok), 18:13, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кайфец, заработало! Спасибо большое)

    А как с производительностью?

     

  • 1.85, Аноним (85), 18:23, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >например, можно установить "https://dns.google.com/".

    А это собственно как резолвиться будет?

     
     
  • 2.91, timur.davletshin (ok), 19:03, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мозг включи, обыкновенный резолвер никто не отменял, через него он и резолвится, а DNS over HTTPS просто на этот адрес шлёт по HTTPS запросы get, а в ответ получает ответы в JSON, которые интерпретирует как DNS и по указанным там IP тоже шлёт get'ы и получает в ответ уже HTML'ки/JS'ы.
     

  • 1.86, Аноним (86), 18:25, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что будет со всякими сетями которые не Интернет?
    Если он не отвечает - будет откат к стандартному dns?
     
     
  • 2.106, Аноним (105), 14:08, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно будет вытащить в интернет, этого и добиваемся
     

  • 1.90, Аноним (-), 18:59, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть какие-нибудь ещё приватные DoH-серверы?
     
     
  • 2.95, Аноним (-), 20:53, 14/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    DoH-серверы - https://en.wikipedia.org/wiki/Public_recursive_name_server
    Приватные - во 1, DoH для этого не очень, во 2 - доверять можно только тому, что хостишь самостоятельно (или хотя бы настраивал самостоятельно на арендованном сервере)
     

  • 1.98, Аноним (98), 23:35, 14/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Вместо этого применяются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки.

    Майнеры на CSS3 и ECMAScripts одобряют.

     
  • 1.99, Аноним (99), 01:06, 15/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Глупость несусветная да и курам насмех типа прятать от одних и показывать все другим, и на это еще расходовать ресурсы... да пускай кто что хочет тот и смотрит в чем проблема ?
     
     
  • 2.107, тормазилла (?), 14:14, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    э нет, вот в этом-то и проблема - "кто хочет" пусть идет к нам, с длинным чеком на энную сумму, а не каждый сам себе что-то там подглядывает без дележки с нами.
     

  • 1.103, 0309 (?), 07:05, 15/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо автору, для меня много нового и интересного, сп
     
  • 1.111, Аноним (111), 20:25, 15/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DoH не нужен.
    ЗЫ.
    Пользую 8.8.8.8 и счастлив.
     
     
  • 2.113, гугль (?), 21:48, 15/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нас не устраивает тот факт, что твой провайдер прекрасно может подменить его своим, и мы не увидим твоих dns запросов. Поэтому мы попросили мурзилу сделать вот такое.


     

  • 1.114, 0309 (?), 00:07, 16/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    network.trr.mode =3
    network.trr.uri  DNS-сервер CloudFlare
    результат  IP Address 2500:cv.............
    ISP CloudFlare
    Location Russia
    что то я не хочу днс такой. как изменить на забугорный?
     
     
  • 2.116, Аноним (115), 03:52, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    network.trr.bootstrapAddress на любой адрес облака CF. У них же полнейший anycast во все дыры. Можно и сайтам за CF адреса менять в hosts, люди так блокировки по IP обходили.
     

  • 1.117, 0309 (?), 08:37, 16/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если network.trr.mode 2 -то видно внутренний ip
    если network.trr.mode 3 - нет подключкеия к интернету
     
     
  • 2.119, NSA (??), 12:53, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ты DoH сервер добавил вообще?
    попробуй network.trr.uri https://1.1.1.1/dns-query
     
     
  • 3.120, 0309 (?), 14:40, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ты DoH сервер добавил вообще?
    вот я ж написал.
    попробуй network.trr.uri https://1.1.1.1/dns-query

    тоже самое  172.68.14.195  Russia
                  2500:cv000    Russia

     
  • 3.121, 0309 (?), 14:42, 16/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вот я ж нап

    ISP CloudFlare

     

  • 1.123, Аноним (123), 22:07, 16/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    dns over https не нужен, нужно либо dns over tls (без обверхеда от http), а лучше dnscrypt, либо dnscurve
     
     
  • 2.124, Аноним (125), 06:04, 17/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > нужно либо dns over tls (без обверхеда от http)

    Скорее без оптимизаций от http. См https://www.opennet.ru/openforum/vsluhforumID3/115285.html#100
    > а лучше dnscrypt

    Чем лучше?

     

  • 1.127, Шёл тут (?), 21:32, 19/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После принудительной замены версии браузера, теперь после выставления параметра network.trr.mode 3 только DoH интернета нет.
    А как всё весело начиналось. Ребята, долго учившиеся кубировать снег и отморозившие то, где у нормальных людей находится мозг, видимо сильно не довольны.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру